Microsoft Entra Connect: Configurar permissões de conta do AD DS Connector
O módulo do PowerShell nomeado ADSyncConfig.psm1 foi introduzido com a compilação 1.1.880.0 (lançada em agosto de 2018) que inclui uma coleção de cmdlets para ajudá-lo a configurar as permissões corretas do Ative Directory para sua implantação do Microsoft Entra Connect.
Descrição geral
Os cmdlets do PowerShell a seguir podem ser usados para configurar as permissões do Ative Directory da conta do Conector AD DS, para cada recurso selecionado para habilitar no Microsoft Entra Connect. Para evitar problemas, você deve preparar as permissões do Ative Directory com antecedência sempre que quiser instalar o Microsoft Entra Connect usando uma conta de domínio personalizada para se conectar à sua floresta. Este módulo ADSyncConfig também pode ser usado para configurar permissões após a implantação do Microsoft Entra Connect.
Para a instalação do Microsoft Entra Connect Express, uma conta gerada automaticamente (MSOL_nnnnnnnnnn) é criada no Ative Directory com todas as permissões necessárias, portanto, não há necessidade de usar este módulo ADSyncConfig, a menos que você tenha bloqueado a herança de permissões em unidades organizacionais ou em objetos específicos do Ative Directory que deseja sincronizar com o Microsoft Entra ID.
Resumo das permissões
A tabela a seguir fornece um resumo das permissões necessárias em objetos do AD:
| Funcionalidade | Permissões |
|---|---|
| Funcionalidade ms-DS-ConsistencyGuid | Permissões de leitura e gravação para o atributo ms-DS-ConsistencyGuid documentado em Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. |
| Sincronização do hash de palavras-passe | |
| Implementação híbrida do Exchange | Permissões de Leitura e Gravação para os atributos documentados no write-back híbrido do Exchange para usuários, grupos e contatos. |
| Pasta Pública de Correio do Exchange | Permissões de leitura para os atributos documentadas em Pasta Pública de Correio do Exchange das pastas públicas. |
| Repetição de escrita de palavras-passe | Permissões de Leitura e Gravação para os atributos documentados em Introdução ao gerenciamento de senhas para usuários. |
| Repetição de escrita do dispositivo | Permissões de leitura e gravação para objetos e contêineres de dispositivo documentados em write-back de dispositivo. |
| Repetição de escrita do grupo | Leia, crie, atualize e exclua objetos de grupo para grupos sincronizados do Office 365. |
Usando o módulo ADSyncConfig PowerShell
O módulo ADSyncConfig requer as Ferramentas de Administração de Servidor Remoto (RSAT) para AD DS, uma vez que depende do módulo e das ferramentas do PowerShell do AD DS . Para instalar o RSAT para AD DS, abra uma janela do Windows PowerShell com 'Executar como administrador' e execute:
Install-WindowsFeature RSAT-AD-Tools
Nota
Você também pode copiar o arquivo C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 para um controlador de domínio que já tenha o RSAT para AD DS instalado e usar este módulo do PowerShell a partir daí. Lembre-se de que alguns dos cmdlets só podem ser executados no computador que hospeda o Microsoft Entra Connect.
Para começar a usar o ADSyncConfig, você precisa carregar o módulo em uma janela do Windows PowerShell:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Para verificar todos os cmdlets incluídos neste módulo, digite:
Get-Command -Module AdSyncConfig
Cada cmdlet tem os mesmos parâmetros para inserir a Conta do Conector do AD DS e uma opção AdminSDHolder. Para especificar sua Conta do Conector do AD DS, você pode fornecer o nome e o domínio da conta ou apenas o Nome Distinto (DN) da conta,
por exemplo:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Ou;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Certifique-se de substituir <ADAccountName>o , <ADDomainName> e <ADAccountDN> com os valores adequados para o seu ambiente.
Caso você queira modificar as permissões no contêiner AdminSDHolder, use a opção -IncludeAdminSdHolders. Observe que isso não é recomendado.
Por padrão, todos os cmdlets de permissões definidas tentarão definir permissões do AD DS na raiz de cada Domínio na Floresta, o que significa que o usuário que executa a sessão do PowerShell requer direitos de Administrador de Domínio em cada domínio da Floresta. Devido a esse requisito, é recomendável usar um administrador corporativo da raiz da floresta. Se sua implantação do Microsoft Entra Connect tiver vários Conectores AD DS, será necessário executar o mesmo cmdlet em cada floresta que tenha um Conector AD DS.
Você também pode definir permissões em um objeto específico de UO ou AD DS usando o parâmetro -ADobjectDN seguido pelo DN do objeto de destino onde deseja definir permissões. Ao usar um ADobjectDN de destino, o cmdlet definirá permissões somente nesse objeto e não na raiz do domínio ou no contêiner AdminSDHolder. Esse parâmetro pode ser útil quando você tem determinadas UOs ou objetos do AD DS com herança de permissão desabilitada (consulte Localizar objetos do AD DS com herança de permissão desabilitada)
As exceções a estes parâmetros comuns são o cmdlet Set-ADSyncRestrictedPermissions, utilizado para definir as permissões na própria Conta do Conector do AD DS, e o cmdlet Set-ADSyncPasswordHashSyncPermissions, uma vez que as permissões necessárias para a Sincronização do Hash de Palavras-passe são apenas definidas na raiz do domínio, pelo que este cmdlet não inclui os parâmetros -ObjectDN ou -IncludeAdminSdHolders.
Determinar sua conta do AD DS Connector
Caso o Microsoft Entra Connect já esteja instalado e você queira verificar qual é a Conta do Conector AD DS atualmente em uso pelo Microsoft Entra Connect, você pode executar o cmdlet:
Get-ADSyncADConnectorAccount
Localizar objetos do AD DS com a herança de permissão desabilitada
Caso queira verificar se há algum objeto do AD DS com herança de permissão desabilitada, você pode executar:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Por padrão, esse cmdlet procurará apenas UOs com herança desabilitada, mas você pode especificar outras classes de objeto do AD DS no -ObjectClass parâmetro ou usar '*' para todas as classes de objeto, da seguinte maneira:
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Exibir permissões do AD DS de um objeto
Você pode usar o cmdlet abaixo para exibir a lista de permissões atualmente definidas em um objeto do Ative Directory fornecendo seu DistinguishedName:
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Configure AD DS Connector Account Permissions (Azure AD Connect: Configurar as Permissões da Conta do Conector do AD DS)
Configurar permissões básicas somente leitura
Para definir permissões básicas somente leitura para a conta do Conector AD DS quando não estiver usando nenhum recurso do Microsoft Entra Connect, execute:
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
ou;
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Objetos de dispositivo descendentes |
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Descendentes de objetos InetOrgPerson |
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Objetos de computador descendentes |
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Descendente foreignSecurityPrincipal objetos |
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Objetos do Grupo Descendente |
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Objetos de usuário descendente |
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Objetos de contato descendentes |
| Permitir | Conta do Conector do AD DS | Replicando alterações de diretório | Somente este objeto (raiz do domínio) |
Configurar permissões do MS-DS-Consistency-Guid
Para definir permissões para a conta do Conector AD DS ao usar o atributo ms-Ds-Consistency-Guid como âncora de origem (também conhecida como opção "Permitir que o Azure gerencie a âncora de origem para mim"), execute:
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
ou;
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Propriedade Leitura/Gravação | Objetos de usuário descendente |
Permissões para a Sincronização do Hash de Palavras-passe
Para definir as permissões para a conta do Conector do AD DS ao utilizar a Sincronização do Hash de Palavras-passe, execute:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
ou;
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Replicando alterações de diretório | Somente este objeto (raiz do domínio) |
| Permitir | Conta do Conector do AD DS | Replicando alterações de diretório todas | Somente este objeto (raiz do domínio) |
Permissões para write-back de senha
Para definir permissões para a conta do Conector AD DS ao usar o Write-back de Senha, execute:
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
ou;
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Repor Palavra-passe | Objetos de usuário descendente |
| Permitir | Conta do Conector do AD DS | Write property lockoutTime | Objetos de usuário descendente |
| Permitir | Conta do Conector do AD DS | Propriedade Write pwdLastSet | Objetos de usuário descendente |
Permissões para write-back de grupo
Para definir permissões para a conta do Conector AD DS ao usar o Write-back de Grupo, execute:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
ou;
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Leitura/Escrita Genérica | Todos os atributos do grupo e subobjetos do tipo de objeto |
| Permitir | Conta do Conector do AD DS | Criar/Excluir objeto filho | Todos os atributos do grupo e subobjetos do tipo de objeto |
| Permitir | Conta do Conector do AD DS | Excluir/Excluir objetos de árvore | Todos os atributos do grupo e subobjetos do tipo de objeto |
Permissões para implantação híbrida do Exchange
Para definir permissões para a conta do Conector AD DS ao usar a implantação híbrida do Exchange, execute:
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
ou;
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Ler/gravar todas as propriedades | Objetos de usuário descendente |
| Permitir | Conta do Conector do AD DS | Ler/gravar todas as propriedades | Descendentes de objetos InetOrgPerson |
| Permitir | Conta do Conector do AD DS | Ler/gravar todas as propriedades | Objetos do Grupo Descendente |
| Permitir | Conta do Conector do AD DS | Ler/gravar todas as propriedades | Objetos de contato descendentes |
Permissões para pastas públicas de email do Exchange
Para definir permissões para a conta do Conector AD DS ao usar o recurso Pastas Públicas de Email do Exchange, execute:
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
ou;
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | Conta do Conector do AD DS | Ler todos os imóveis | Objetos Descendant PublicFolder |
Restringir permissões na conta do AD DS Connector
Esse script do PowerShell restringirá as permissões para a Conta do AD Connector fornecida como um parâmetro. Apertar as permissões envolve as seguintes etapas:
Desabilitar herança no objeto especificado
Remova todas as ACEs no objeto específico, exceto as ACEs específicas para SELF, pois queremos manter as permissões padrão intactas quando se trata de SELF.
O parâmetro -ADConnectorAccountDN é a conta do AD cujas permissões precisam ser reforçadas. Normalmente, essa é a conta de domínio MSOL_nnnnnnnnnnnn configurada no Conector AD DS (consulte Determinar sua Conta do Conector AD DS). O parâmetro -Credential é necessário para especificar a conta de Administrador que tem os privilégios necessários para restringir as permissões do Ative Directory no objeto AD de destino (essa conta deve ser diferente da conta ADConnectorAccountDN). Normalmente, trata-se do Enterprise ou do Domain Administrator.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Por Exemplo:
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Este cmdlet definirá as seguintes permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Permitir | SISTEMA | Controlo Total | Este objeto |
| Permitir | Administradores da Empresa | Controlo Total | Este objeto |
| Permitir | Administradores do Domínio | Controlo Total | Este objeto |
| Permitir | Administradores | Controlo Total | Este objeto |
| Permitir | Controladores de domínio empresariais | Conteúdo da lista | Este objeto |
| Permitir | Controladores de domínio empresariais | Ler todos os imóveis | Este objeto |
| Permitir | Controladores de domínio empresariais | Permissões de leitura | Este objeto |
| Permitir | Utilizadores Autenticados | Conteúdo da lista | Este objeto |
| Permitir | Utilizadores Autenticados | Ler todos os imóveis | Este objeto |
| Permitir | Utilizadores Autenticados | Permissões de leitura | Este objeto |